iptables学习笔记5-SNAT & DNAT

最新推荐文章于 2024-04-28 12:44:49 发布
原创 最新推荐文章于 2024-04-28 12:44:49 发布 · 504 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何使用iptables在网关服务器上实现SNAT(源地址转换)和DNAT(目的地址转换)。通过具体实验环境,阐述SNAT和DNAT的工作原理及配置方法,确保内网主机可以透明地访问外网,同时外网也能访问内网特定服务。

背景

此篇文章我们将利用 iptables 做网关,实现 snatdnat
snat :源地址转换
dnat :目的地址转换

实验环境如下,总共有 4 台主机 A、B、C、D,其中 B 服务器作为网关,有2长网卡,内网地址为 172.16.1.11 ,外网地址为 192.168.0.11 (这里的外网是假外网地址,能到达实验效果就行);内网还有 C、D 两台服务器,一台 Linux ,一台 Windows

实验要达到的效果

  • snatC、D 通过 B 去访问外网 A 服务器上的服务,此时在 A 服务器上,看到的访问者地址为 B 服务器的外网地址
  • dnatA 通过 B 去访问内网 C 服务器上的服务,此时在 C 服务器上,看到的访问者地址为 B 服务器的内网地址

能达到上面说的2种效果,就说明我们的实验是成功的。

iptables学习笔记5-SNAT & DNAT

SNAT和DNAT说明

SNAT 源地址转换,在 Postrouting 链上操作
DNAT 目的地址转换,在 Prerouting 链上操作

为什么要在 PostroutingPrerouting 链上操作??
我们以该系列第一篇文章终极流量流向图 为背景来展开说明
在这里插入图片描述
1、我们的目的是 snatdnat ,所以流量走最下面那条链路效率是最高的(prerouting --> forward --> postrouting),没必要还去 input 或者 output 链绕一圈。
2、要进行地址转换,必须需要 nat 表。

结合上面2个条件,我们可以把链确认在 preroutingpostrouting 之间。接着再往下看。

为什么 snat 要在 postrouting 链上??
为什么 dnat 要在 prerouting 链上??

我们先来回顾一下 routing 作用:判断数据包的目的地址是否是本机地址?如果是,则进入 input 链,再到应用程序;如果不是,则进入 forward 链,再到 postrouting

snat 的目的是源地址转换,将数据包的 源地址 转换为 本机出口地址。如果在 prerouting 进行 snat,那针对源地址的限速、限流、禁止访问等等规则就不生效了,因为此时数据包的源地址正是本机地址。所以源地址转换只能在出口进行操纵,也就是 postrouting 链。

dnat 的目的是目的地址转换,将数据包的 目的地址 转换为 其它服务器地址 ,在此实验场景中是内网地址。
dnat 场景下有个背景是需要我们了解的,客户端其实是不知道 iptables 服务器后面还有其它服务,客户端以为它要请求的服务地址就是 iptales 服务器地址,所以在客户端发来的数据包中,目的地址为 iptables 服务器地址。(其实和反向代理差不多,客户端不知道他请求的其实是一个网关服务)
如果此时不在 prerouting 链中进行 目的地址转换 ,那这个数据包经过 route 判断时就会顺势进入 input 链,再到用户层,而用户层根本就没有程序来处理这个数据包。所以 dnat 是在 prerouting 链上进行操作。

iptables学习笔记7-问题思考
xianyuLuo的博客
04-24 548
背景 我自己在学习 iptables 的时候,有 2 个问题困扰着我 1、snat 为什么要在 postrouting 链上进行换?只要有 nat 表的链都可以啊,为什么呢? 2、dnat 为什么要在 prerouting 链上进行换?只要有 nat 表的链都可以啊,为什么呢? 本篇主要用于思考这 2 个问题。 SNATDNAT说明 snat地址换,在 postrouting 链上操...
iptables学习笔记-基础篇
知识就是生产力
04-07 545
最近一段时间用到了不少网络的知识,设计到防火墙的配置,数据包的路由等等。在此过程中主要使用到了linux自带的iptables来完成一些功能,同样是迷迷糊糊的。以下为学习iptables的一些笔记,以备以后复习。 一、防火墙知识 通过对linux内核防火墙的配置便能够完成上面描述的防护功能。llinux防火墙的配置用iptables工具来配置完成。 1、什么是iptables? iptables...
【网络】SNATDNAT
qq_41152046的博客
04-08 3366
在网络通信中,当外部网络的主机向内部网络发送数据包时,数据包的目标IP地址会被修改为内部网络的某个主机的IP地址,从而实现数据包的路由。在网络通信中,当外部网络的主机向内部网络发送数据包时,数据包的目标IP地址会被修改为内部网络的某个主机的IP地址,从而实现数据包的路由。当外部网络的主机需要访问内部网络的资时,数据包的目标IP地址会被修改为内部网络的某个主机的IP地址,从而实现数据包的路由。如果外部网络的主机需要访问内部网络的资,就需要使用DNAT技术将外部网络的请求路由到内部网络的某个主机上。
Linux学习-----Chapter eight
u012830695的博客
07-16 936
iptables与firewalld防火墙 本章讲解了如下内容: Ø 防火墙管理工具; Ø iptables; Ø firewalld; Ø 服务的访问控制列表。 本章将分别使用iptables、firewall-cmd、firewall-config和TCP Wrappers等防火墙策略配置服务来完成数十个根据真实工作需求而设计的防火墙策略配置实验。在学习完这些实验之后,各位读者不仅可以熟练地过滤请求的流量,还可以基于服务程序的名称对流量进行允许和拒绝操作,确保Linux系统的安全性万无一失。 一、防火
系统安全:SNATDNAT的实现
tgzh123的博客
03-27 719
④IP地址要求:PC1为192.168.30.11/24--网关为192.168.30.12、PC2网关的ens33网卡地址为192.168.30.12/24--网关为192.168.30.12、ens36为12.0.0.254/24--不需要网关、PC3为12.0.0.100/24--网关为12.0.0.254。③网络模式要求:PC1为NAT模式、PC2中作为PC1网关的网卡为NAT模式、作为PC3网关的网卡为仅主机模式、PC3为仅主机模式。PC1内网日志会显示访问的公网ip。
iptablesSNATDNAT
weixin_56270746的博客
05-16 2149
一、SNAT策略及应用 1、SNAT策略概述 SNAT应用环境 局域网主机共享单个公网IP地址接入Internet(私有IP不能在Internet中正常路由) SNAT策略的原理 地址换,根据指定条件修改数据包的IP地址,通常被叫做映射。 SNAT换前提条件 局域网各主机已正确设置IP地址、子网掩码、默认路由发送数据 Linux网关开启IP路由发 1.2、开启SNAT命令 Linux系统本身是没有发功能 只有路由发送数据 临时开启 echo 1 >/proc/s
Linux防火墙iptablesSNATDNAT
sukapulai的博客
04-24 3110
目录 SNAT策略及应用 SNAT策略概述 开启SNAT的命令 临时打开 永久打开 SNAT换1:固定的公网IP地址 SNAT换2:非固定的公网IP地址(共享动态IP地址) SNAT案例 实验准备 配置网关服务器(192.168.217.254/12.0.0.254)的相关配置 配置外网服务器(12.0.0.12)的相关配置 修改客户端 ping一下网关和外网服务器 开启ip发功能 实验内外网访问 配置网关服务器的iptables规则 小知识扩展 DNAT策略与应用
Linux之Iptables简易应用(1)
最新发布
2401_83946044的博客
04-28 1266
iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 30 -j REJECT #允许单个IP的最大连接数为 30。iptables -A INPUT -p tcp --dport 22 -s 192.168.0.0/16 -j ACCEPT (特定 IP 来不受限制)iptables端口代理,做到像nginx,haproxy一样发TCP请求,但是它不能关心应用层的东西,比机主机头,没有超时时间限制,除非网络不稳定。
Linux学习之iptables的nat表
qq_42108074的博客
08-17 832
此文章为8月Day 17学习笔记,内容来于极客时间。一般用于内网,用于目的地址换。一般用于外网,用于地址换。可以看一下配置文件里边的内容。端口并且通过的数据发到内网。可以看一下对应的安装文件。
iptables学习笔记.pdf
10-08
### iptables学习笔记知识点概述 #### 数据包流向顺序 数据包在通过iptables的不同链和表时,遵循特定的顺序。了解这一流程对于正确配置iptables至关重要,因为它有助于理解数据包是如何被处理、过滤或修改的。 -...
iptablessnatdnat
weixin_33905756的博客
11-09 120
2019独角兽企业重金招聘Python工程师标准>>> ...
iptables SNAT DNAT实战
kuangfeng的博客
05-12 556
iptables SNAT DNAT实战
iptables SNAT/DNAT测试
weixin_34378045的博客
07-15 886
环境:CentOS 6.4(最小化安装)SNAT测试:地址规划:NodeIP addressGWEndUser192.168.101.241/24192.168.101.1iptableseth1:192.168.101.1/24eth0:192.168.100.242/24192.168.100.1EndUser:[root@EndUser~]#tail-n5/e...
iptables防火墙(二)——SNATDNAT
ver_mouth__的博客
05-11 1771
一:SNAT策略及应用 1.1SNAT应用环境和SNAT策略的原理 1.1.1SNAT策略的典型应用环境 局域网主机共享单个公网ip地址接入internet 1.1.2SNAT策略的原理 地址换,Source Network Address Translation 修改数据包的地址 1.1.3SNAT换前提条件 ①局域网各主机已正确设置IP地址、子网掩码、默认网关地址 ②Linux网关开启IP路由发 Linux想系统本身是没有发功能,只能路由发送数据 临时打开: ech
IptablesSNATDNAT
nnn717的博客
05-10 312
文章目录1 SNAT1.1SNAT原理2 DNAT2.1 DNAT原理3 实验DNATSNAT加分离解析 1 SNAT 1.1SNAT原理 SNAT 应用环境 局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由 SNAT原理 地址换 修改数据包的地址 SNAT换前提条件 局域网各主机已正确设置IP地址、子网掩码、默认网关地址 Linux网关开启IP路由发 临时打开 echo 1 >/proc/sys/net/ipv4/ip_forward 或
Linux防火墙——iptablesSNATDNAT详细)
oyyy3的博客
11-02 8027
一.SNAT 1.原理 原理:地址换,修改数据包中的IP地址 作用:可以实现局域网共享上网 配置的表及链:nat表中的POSTROUTING 2.换前提条件 局域网各主机已正确设置IP地址、子网掩码、默认网关地址 Linux网关开启IP路由发 linxu想系统本身是没有发功能 只有路由发送数据 tips:一个IP地址做SNAT换,一般可以让内网100到200 台主机实现上网 临时打开: echo 1 > /proc/sys/net/ipv4/ip_forw...
iptablesSNATDNAT
zzn0109的博客
05-24 929
目录 一、SNAT概念 1.1 SNAT的原理 1.2 SNAT换流程 1.3 SNAT的实例 1.3.1 临时打开和永久打开 1.3.2 SNAT发方式 1.4 实例 二、DNAT概述 2.1 DNAT的原理 2.2 DNAT换流程 2.3 DNAT的实例 2.3.1 Linux网关开启路由发 2.3.2 DNAT换的方式 总结 一、SNAT概念 1.1 SNAT的原理 SNAT适用于局域网主机共享单个公网IP地址接入Internet 地址换(.
iptables防火墙SNATDNAT
Hard work results, technology is willing to dream
02-10 1659
iptables防火墙SNATDNAT
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值